欧盟的《网络弹性法案》规定了所有硬件和软件的强制性网络安全要求 《网络弹性法案》（CRA）是欧洲议会和欧洲理事会就即将实施的重要立法达成的政治协议。该法案于2022年9月由欧洲委员会首次...

本周安全态势综述 OSCS 社区共收录安全漏洞 7 个，公开漏洞值得关注的是 Apache Superset<2.1.1 远程代码执行漏洞( CVE-2023-37941 )、Redis SORT_RO命令可绕过 ACL 配置( CVE-2023-41053 )、...

本周安全态势综述 OSCS 社区共收录安全漏洞 3 个，公开漏洞值得关注的是 VMware Aria Operations SSH 身份验证绕过漏洞( CVE-2023-34039 )、Apache Airflow Spark Provider 反序列化漏洞( C...

本周安全态势综述 OSCS 社区共收录安全漏洞 13 个，公开漏洞值得关注的是 WinRAR<6.23 远程代码执行漏洞【Poc公开】(CVE-2023-38831)、Spring Kafka 反序列化漏洞(CVE-2023-34040)、Smartbi...

漏洞描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件，用于在Airflow中管理和调度Apache Spark作业。 受影响版本中，在JDBC连接时，由于没有对conn_prefix参数做验证，允...

漏洞描述 PowerJob 是一款开源的分布式任务调度框架。 在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权，未授权的攻击者可以构造 appId 参数访问 /c...

漏洞描述 Apache NiFi 是一个开源的数据流处理和自动化工具。 在受影响版本中，由于多个Processors和Controller Services在配置JDBC和JNDI JMS连接时对URL参数过滤不完全。使用startsWith方法...

先说结论 今年大型攻防演练的观感： 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击（以安全产品、OA、cms、办公软件为主） 社工+钓鱼又玩出了新花样（红队这帮人估计去电诈团队...

本周安全态势综述 OSCS 社区共收录安全漏洞 3 个，公开漏洞值得关注的是 Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Sp...

漏洞描述 JeecgBoot是一款开源的企业级低代码平台，提供了表单、视图、流程等一键生成代码功能，目前在GitHub具有 35.5k star。 在V3版本中，由于未对JDBC连接字符串进行限制，未授权的攻击者...

2023 年 7 月 18 日晚 19:30，软件供应链安全技术交流群（OSCS）组织了第一次线上的闭门研讨会，本次研讨会我们收到 71 个来自各个企业关注软件供应链安全的技术专家的报名，根据研讨会参与规...